Google 방식으로 중간자 가능성을 찾는 방법은 무엇입니까?
https://stackoverflow.com//questions/22000700
-
20-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
Google이 어떻게 다음과 같은 메시지를 표시할 수 있는지 궁금합니다. Cannot connect to the real mail.google.com 아니면 비슷한?Google 서버의 IP 주소는 단순히 Chrome에 하드 코딩되어 있나요? 아니면 비슷한 작업을 수행할 수 있나요?이는 고객이 피싱이나 사기 웹사이트를 방문하지 않도록 하는 데 도움이 될 수 있습니다.
이 오류는 Google 관련 웹사이트에 액세스하려고 할 때만 표시되며 다른 내용은 표시되지 않습니다.
다음은 프록시 자격 증명을 제공하지 않고 Gmail에 연결을 시도할 때 Google Chrome이 표시하는 내용의 샘플입니다.
추신:저는 주로 C#과 ASP.NET을 사용합니다.나는 제안에 열려 있습니다.
편집하다 :
SilverlightFox의 답변에 따라 내 웹 사이트 인증서 고정을 "요청"할 수 있는 방법이 있습니까?그리고/또는 "STS 사전 로드 목록"에 추가하는 방법은 무엇입니까?
해결책
처럼 @테드 빅햄 의견에 언급된 내용은 다음을 통해 달성됩니다. 인증서 고정:-
다양한 종류의 MITM 공격을 탐지하고 차단하는 한 가지 방법은 "인증서 고정"(때때로 "SSL 고정"이라고도 함)입니다.인증서 고정을 수행하는 클라이언트는 일반 TLS 프로토콜 또는 SSL 프로토콜에 추가 단계를 추가합니다.클라이언트는 표준 방식으로 서버의 인증서를 얻은 후 신뢰할 수 있는 유효성 검사 데이터와 비교하여 서버의 인증서를 확인합니다.일반적으로 신뢰할 수 있는 유효성 검사 데이터는 해당 인증서의 신뢰할 수 있는 복사본, 해당 인증서의 신뢰할 수 있는 해시 또는 지문 또는 인증서의 공개 키 형식으로 앱과 함께 번들로 제공됩니다.예를 들어 크롬과 Google Chrome에는 2011년에 허위 인증서를 감지한 *.google.com 인증서에 대한 유효성 검사 데이터가 포함되어 있습니다..다른 시스템에서는 클라이언트가 서버의 인증서를 처음 얻을 때 신뢰할 수 있고 저장하기를 바랍니다.해당 서버와의 이후 세션 중에 클라이언트는 이후의 MITM 공격으로부터 보호하기 위해 저장된 인증서와 서버의 인증서를 확인합니다.
에서 인증서 고정이란 무엇입니까?:-
일부 최신 브라우저(예: Chrome)에서는 HSTS 메커니즘을 사용하여 다양한 인증서 고정을 수행합니다.특정 공개 키 해시 세트를 이 HSTS 구성에 미리 로드하여 유효한 인증서를 지정된 공개 키를 나타내는 인증서로만 제한합니다.
HTTP 엄격한 전송 보안(HSTS) HTTP 응답 헤더(HTTPS를 통해서만 전송됨)를 통해 구현되는 기술로, 웹 사이트는 일정 기간 동안 HTTPS를 통해서만 액세스할 수 있다는 사실을 "기억"하도록 브라우저에 지시합니다.HSTS가 켜져 있는 경우 www.example.com 사용자가 방문하는 경우 http://www.example.com ~ 전에 max-age 만료되면 브라우저에서 요청합니다. https://www.example.com 대신 일반 HTTP를 통해 요청이 전송되지 않습니다.HSTS에서는 헤더를 받으려면 사용자가 이미 사이트를 방문한 적이 있어야 하지만 Google은 Chrome 브라우저 코드에 해결 방법을 구현했습니다.
Google Chrome 및 Mozilla Firefox는 HSTS를 지원하는 알려진 사이트가 포함된 목록인 "STS 사전 로드 목록"을 구현하여 이러한 제한 사항을 해결합니다.이 목록은 나열된 사이트에 대한 초기 요청에도 HTTPS를 사용하도록 브라우저와 함께 배포됩니다.
다음 질문 편집 업데이트
SilverlightFox의 답변에 따라 내 웹 사이트 인증서 고정을 "요청"할 수 있는 방법이 있습니까?그리고/또는 "STS 사전 로드 목록"에 추가하는 방법은 무엇입니까?
에 따르면 이 블로그 게시물 HSTS 목록에 포함되도록 브라우저 개발자에게 문의하고 공개 키(또는 CA)를 브라우저에 고정해야 합니다.
이 도메인은 Chrome에 HSTS가 사전 로드되어 있나요?현재는 바이너리에 하드코딩되어 있으며 앞으로 성장할 것입니다.Chromium에 문의하여 해당 목록에 사이트를 포함시킬 수 있습니다.
그리고
따라서 현재 웹 사이트 인증서에 서명하는 CA의 공개 키를 고정하는 유일한 솔루션은 Chromium 팀에 문의하여 코드에 포함시키는 것입니다.
다른 팁
인간 인 - 중간에 싸우는 유일한 방법은 사전 공유 된 지식을 갖는 것입니다.이 경우 브라우저가 신뢰하는 두 개의 루트 당국의 하드 코딩 된 인증서입니다.이러한 루트 인증서는 다른 당국의 인증서에 서명 할 권한이 사용되어 차례로 신뢰할 수있는 것입니다.mail.google.com의 인증서를 칠 때까지 신뢰의 체인이 내장됩니다.
mail.google.com으로 이동하면 사이트의 버전 버전으로 자동 리디렉션됩니다.HTTPS는 인증서를 의미합니다.브라우저가 해당 사이트의 인증서를 다운로드하고 서명 체인이 브라우저 트러스트의 일부 권한에 의해 루팅 된 경우 검사합니다.그렇지 않은 경우 : 큰 지방 경고!아마도 Man-in-the-middle spoof on!
다른 일은 HTTP에서 HTTP에서 HTTP에서 HTTPS까지의 리디렉션이 실패하는 것입니다.그것은 당신이 얻는 경고 일 수 있습니다.
